In den letzten drei Wochen sind ungewöhnlich viele kritische Sicherheitslücken bekannt geworden. Drei Schwachstellen allein betrafen Adobe Flash (CVE-2015-5119, CVE-2015-5122, CVE-2015-5123). Verwundbar waren BenutzerInnen von Windows, Mac OS und Linux gleichermassen. Da die Lücken einfach auszunutzende Drive-by-Attacken – also ohne weiteres Zutun des Opfers – ermöglichten, wurden sie mit der höchsten Gefahrenstufe bewertet.
Drei weitere schwerwiegende Lücken betrafen Microsoft Windows. Ein Bug hat es ermöglicht, auf allen aktuell unterstützen Windows-Versionen administrative Rechte zu erhalten (privilege escalation; CVE-2015-2387). Die anderen beiden konnten auch über das Netzwerk ausgenutzt werden: Per JavaScript-Programm und Internet Explorer 11 konnten Systeme direkt infiziert werden (CVE-2015-2425). Zudem konnten wiederum sämtliche aktuell unterstützen Windows-Versionen per Drive-by-Attacke unter Kontrolle gebracht werden (CVE-2015-2426). Selbst die speziell gehärtete Umgebung (Sandbox) von Googles Chrome Browser hatte dieser nicht standgehalten.
Allen sechs Lücken waren dem «Hacking Team» aus Mailand (und sicherlich auch weiteren Personen) bekannt. Sie konnten nun geschlossen werden, weil der Source-Code ihre Trojaner-Software nach dem Einbruch auf ihre Server auch auf GitHub veröffentlicht worden ist. Eine der Flash-Lücken dürfte auf den Deal mit einem Verkäufer aus Moskau zurück gehen. Angeboten waren gleich sechs den jeweiligen Herstellern unbekannte Sicherheitslücken (0-days); bezogen wurde schliesslich einer dieser Exploits für US$ 45’000.-.
[Update vom 28.7.2015: Die im Oktober 2013 gekaufte Flash-Lücke wurde «bereits» im April 2015 bekannt und behoben. «Hacking Team» hat eine weitere, fast identische Schwachstelle im Februar 2014 vom russischen Händler gekauft.]
Die Kantonspolizei Zürich hat bei ihrem Trojanereinkauf beim «Hacking Team» dann auch gleich ein «Remote Attack Vektor Service» mit bestellt. Dies ist ein Dienstleistungs-Abonnement für das Ausnutzen von Sicherheitslücken über das Netzwerk, um Systeme mit dem Trojaner zu infizieren.
In der von Wikileaks veröffentlichten E-Mail-Kommunikation wird beispielsweise am 4. März das Ausnützen einer Schwachstelle von Android (mit der anschliessenden Umleitung auf www.blick.ch) bestellt. Der Bestellung mit angehängt ist ein von der Behörde – mit Hilfe der gekauften Software aus Mailand – zusammengestellter Trojaner. Umgehend wird vom «Hacking Team» eine speziell präparierte Webadresse eingerichtet, von wo die Schadsoftware – welche zuerst eine Android-Lücke ausnutzt, um dann darüber die Trojaner-Software zu installieren – «bezogen» werden kann. Nun musste nur noch mit Hilfe des ebenfalls mit gekauften «Network Injector» aus dem Datenstrom von der zu überwachenden Person ein Webzugriff auf www.blick.ch abgefangen und auf die bereitgestellte Webadresse umgeleitet werden. Der RCSAndroid-Trojaner war damit am «Ziel». (Ob der letzte Schritt tatsächlich stattgefunden hat und erfolgreich war, ist unbekannt.)
Die Kantonspolizei Zürich ist nicht nur indirekt mit verantwortlich und sogar daran interessiert, dass schwerwiegende Sicherheitslücken über Jahre von den Herstellern nicht geschlossen werden können (dabei aber potentiell bereits ausgenutzt werden) – durch den Einkauf eines «Remote Attack Vektor Service» via «Hacking Team» finanziert sie zudem den (russischen) Schwarzmarkt für Sicherheitslücken mit.
Damit bleiben nicht nur alle unsere Geräte verwundbar; auch diejenigen der Polizei stehen schutzlos da. Um sich dies nochmals zu vergegenwärtigen: Gegen diese 0-Day-Attacken nützen keine Security-Proxies (wie sie gerne in Firmen eingesetzt werden) und auch keine Antiviren-Programme. Von der Polizei sollte erwartet werden können, dass sie sich ernsthaft um Sicherheit kümmert. Mit Steuergelder den Schwarzmarkt für Sicherheitslücken mit zu finanzieren, gehört sicherlich nicht dazu.
(Die Funktionsweise der Trojaner-Software «Remote Control System RCS» von «Hacking Team» ist in den Artikeln von The Intercept und Citizenlab ausführlich beschrieben.)